La autenticación multifactor (MFA, Multi-factor authentication) es un método de autenticación electrónica en el que se requieren dos o más factores (p.ej. una contraseña y una huella dactilar) para que un usuario tenga acceso a una página web o aplicación. Estos factores pueden ser de conocimiento (algo que el usuario pueda saber), de características inherentes (algo que el usuario pueda ser) o de posesión (algo que el usuario pueda tener). La MFA está diseñada para ser más segura que un simple inicio de sesión utilizando un identificador y una contraseña, protegiendo al usuario del robo de identidad y del fraude.
Cómo funciona la autenticación
El concepto de autenticación es bastante simple. El usuario debe probar su identidad ante un servidor, página web o plataforma para tener acceso a él. Tradicionalmente, la autenticación constaba de un factor con un único paso, como iniciar sesión con un nombre de usuario y una contraseña. Sin embargo, puede resultar sencillo comprometer las credenciales de contraseña, especialmente si son fáciles de adivinar, como «1234» o «contraseña». Y si un individuo utiliza la misma contraseña para diversas cuentas, acceder a una contraseña para una cuenta aparentemente insignificante que el usuario abrió años atrás puede permitir a los defraudadores hackear cuentas importantes como las bases de datos y las cuentas bancarias, entre otras. El inconveniente de las contraseñas es que pueden ser difíciles de recordar por el usuario y costoso para las empresas instituir políticas de contraseñas estrictas que puedan realmente proteger los datos de la empresa. Según el informe de Javelin, las preferencias del consumidor impulsan un cambio en la autenticación; en 2020, al 22% de las víctimas de fraude les habían robado sus credenciales de contraseña y correo electrónico. Mientras que el 75% de los consumidores afirman que las contraseñas son uno de los métodos mas sencillos de autenticación, también entienden que las contraseñas se pueden comprometer fácilmente.
En este caso, la autenticación multifactor puede utilizarse como un paso extra y un obstáculo adicional a sortear para los defraudadores cuando intentan acceder a una cuenta. Incluso los factores menores como una pregunta secreta pueden disuadir a los hackers de acceder a los datos. Afortunadamente, la tecnología ha evolucionado y existen métodos de autenticación mucho más sofisticados y fuertes que son capaces de mantener los datos seguros.
Tipos de autenticación
Con el fraude al alza, es más importante que nunca implementar capas de seguridad extra en tu negocio, tus empleados y clientes usando dos o tres de los siguientes factores MFA:
- Algo que eres:
Esta información es parte del usuario. Es una característica, o biometría, que sólo el usuario posee. Esto incluye, pero no está limitado a, el reconocimiento facial, el reconocimiento de voz y los escáneres biométricos como las huellas dactilares, la huella palmar o la retina. De acuerdo con el estudio Javelin, la confianza en la autenticación biométrica está creciendo. La efectividad percibida por los consumidores del reconocimiento facial (63%) y del escáner de retina (62%) se mantuvo estable de 2019 a 2020, pero el reconocimiento de voz llegó, por primera vez, al índice de efectividad percibida del 50%. - Algo que tienes:
Esto tiene que ver con la información que el usuario puede llevar consigo físicamente. Los ejemplos incluyen la identificación mediante una tarjeta de identificación laboral, un pasaporte, una tarjeta de verificación de identidad personal (PIV, personal identity verification), una aplicación de autenticación o un token (también llamado contraseña de un solo uso) que normalmente se envía vía SMS/notificación push. Estos métodos de verificación se utilizan normalmente en la autenticación de dos factores, junto con algo que sabes. - Algo que sabes:
Esta es la información que el usuario almacena en su memoria (o que ha anotado o grabado en algún sitio) y puede recuperar cuando sea necesario. Los ejemplos incluyen una contraseña, un Número de Identificación Personal (PIN, Personal Identification Number), una clave de seguridad o la respuesta a una pregunta (como el segundo nombre de tu madre, la calle en la que creciste, el nombre de tu primera mascota, el nombre de tu mejor amigo o la ciudad donde naciste). - Algún sitio en el que estés:
Este factor no es tan conocido como los mencionados anteriormente. Está relacionado con tu ubicación física. Algunos métodos para detectar la ubicación del usuario incluyen la realizada a través de su dirección de Protocolo de Internet (IP, Internet Protocol), de su dirección de control de acceso al medio (MAC, media access control) o de la geolocalización de su teléfono o dispositivo móvil.- La dirección IP es una etiqueta numérica asignada a todos los dispositivos conectados a una red de ordenador que utiliza internet para comunicarse. Es el método más común para detectar la ubicación del usuario. Por ejemplo, la dirección IP nos indicará si el usuario se está conectando desde EE. UU. o Alemania.
- La dirección MAC es un identificador único asignado a una red. Una empresa puede configurar su red de manera que solo puedan usarse ordenadores específicos (con una dirección MAC fija) para iniciar sesión. Si alguien intenta acceder a la red desde otro ordenador, se le denegará el acceso.
- La geolocalización móvil utiliza la localización GPS del teléfono del usuario para detectar su ubicación. Si la última ubicación conocida de un usuario era en Estados Unidos y un par de horas más tarde se utiliza la tarjeta en India, podría significar que el usuario y la tarjeta no se encuentran en la misma localización.
- Algo que haces (hábitos y comportamientos):
Este es el factor menos utilizado de todos los tipos de autenticación que hemos mencionado hasta ahora, principalmente, porque no es tan conocido. Este tipo de autenticación prueba la identidad del usuario observando sus acciones. Estas acciones incluyen:- Lo rápido que escribes
- Cómo mueves el ratón
- Dinámicas de tecleo
- Dinámicas de firma
- Gestos y toques
- Patrones de habla
La autenticación multifactor vs. la autenticación multipaso
En ocasiones, las empresas utilizan la autenticación multipaso en vez de la multifactor. La diferencia entre ellas es que la autenticación multipaso verifica cada factor por separado, uno después del otro, mientras que la autenticación multifactor los valida todos a la vez.
Por ejemplo, en un sistema que requiere un nombre de usuario y una contraseña seguidos de un token, si la autenticación es multipaso, el nombre de usuario y la contraseña se validarán primero y después el token. Si es multifactor, el sistema solo valida el nombre de usuario y la contraseña una vez que se haya proporcionado el token. La ventaja de la última estrategia frente a la primera es que, en este caso, si el inicio de sesión falla, no se puede saber si lo incorrecto es el nombre de usuario, la contraseña o el token.
Por lo tanto, los factores de autenticación múltiples son una estrategia mas fuerte si quieres proteger tus datos y los de tu empresa sin la molestia de que tus empleados tengan que cambiar sus contraseñas con demasiada frecuencia o exista el riesgo de que se olviden de sus contraseñas o nombres de usuario. Llevando la estrategia por capas un paso más allá, Javelin también recomienda verificar continuamente la identidad de un consumidor a lo largo de su vida a través de una serie de comprobaciones, lo cual reducirá significativamente las posibilidades de fraude de identidad o de acceso no autorizado a una cuenta.